Quantencomputer-Bedrohung für Verteidigungskommunikation: Zeitplan und praktische Reaktion

Von Corvus Intelligence Engineering-Team · Über das Team →

3. Juni 2026 9 Min. Lesezeit

Die Frage, die Verteidigungsführungskräfte am häufigsten über Quantencomputer stellen, lautet: „Wann?" Wann wird ein Quantencomputer, der groß genug ist, um aktuelle Militärverschlüsselung zu brechen, tatsächlich existieren? Die unbequeme Antwort der Forschungsgemeinschaft lautet: wahrscheinlich zwischen 2030 und 2035, mit erheblicher Unsicherheit in beide Richtungen. Die noch unbequemere Antwort aus Sicherheitsperspektive ist, dass das genaue Datum das Falsche ist, worauf man sich konzentrieren sollte – denn der wichtigste Angriff, Harvest-now-decrypt-later, ist bereits im Gange, unabhängig davon, wann diese Maschine eintrifft.

Gegner mit der Geduld und Speicherkapazität von Nationalstaaten müssen nicht auf Quantenfähigkeiten warten, bevor sie die Daten beschaffen, die sie damit entschlüsseln möchten. Die Massensammlung verschlüsselten Datenverkehrs ist im Verhältnis zu nationalen Geheimdienstbudgets kostengünstig. Jede klassifizierte Kommunikation, die durch RSA oder elliptische-Kurven-Kryptografie geschützt ist und bis in die 2030er Jahre sensibel bleibt, ist bereits gefährdet – nicht hypothetisch, sondern operativ. Dieser Artikel untersucht den Bedrohungszeitplan, identifiziert, welche Kategorien von Verteidigungsdaten am stärksten exponiert sind, und bietet einen praktischen Rahmen zur Priorisierung der Reaktion.

Die Harvest-now-decrypt-later-Bedrohung: Warum heute Dringlichkeit gerechtfertigt ist

Harvest-now-decrypt-later (HNDL) ist ein unkomplizierter Angriff: Ein Gegner zeichnet verschlüsselte Kommunikation in großem Umfang auf, speichert den Geheimtext und wartet, bis ein Quantencomputer verfügbar ist, der die Sitzungsschlüssel wiederherstellen kann. Der Angriff erfordert zum Zeitpunkt der Sammlung keine kryptoanalytische Fähigkeit – nur die Möglichkeit, Datenverkehr abzufangen und zu speichern, was staatliche Akteure wiederholt durch Signalgeheimdienstprogramme nachgewiesen haben.

Die wirtschaftliche Logik von HNDL ist asymmetrisch zugunsten des Gegners. Die Speicherkosten für abgefangenen Massenverkehr sind dramatisch gesunken – die Speicherung von Petabytes an Geheimtext ist für große Geheimdienste operativ machbar. Die Kosten einer zukünftigen Quantenentschlüsselungsoperation, amortisiert über den Geheimdienstwert von Jahrzehnten klassifizierter Kommunikation, sind günstig. Es gibt keine technische Barriere, diese Sammlung jetzt zu beginnen, und keinen Grund anzunehmen, dass sie nicht bereits stattfindet.

Schlüsselerkenntnis: Der Quantenzeitplan 2030–2035 definiert nicht, wann die HNDL-Bedrohung real wird – er definiert, wann geerntete Daten lesbar werden. Jede klassifizierte Kommunikation, die heute mit RSA- oder ECC-basiertem Schlüsselaustausch verschlüsselt ist und Informationen enthält, die über 2030 hinaus sensibel bleiben, ist bereits diesem Bedrohungsvektor ausgesetzt. Die Migrationsuhr hat vor Jahren begonnen.

Die am meisten gefährdeten Daten sind nicht routinemäßiger operativer Datenverkehr, sondern langlebige klassifizierte Informationen: nukleare Befehls- und Kontrollprotokolle (NC3) und die damit verbundenen Kommunikationsarchitekturen, Geheimdienstquellen und -methoden, die bis in die 2030er Jahre aktiv bleiben werden, strategische Pläne mit Planungshorizonten von 10 oder mehr Jahren sowie Fähigkeitsbewertungen, die Beschaffungsentscheidungen über Jahrzehnte hinweg informieren. Dies ist genau die Kategorie von Informationen, die Gegner am meisten wollen und die Verteidigungsorganisationen über jeden vernünftigen Quantencomputer-Zeitplan hinaus am meisten schützen müssen.

Der Quantencomputer-Zeitplan: Was aktuelle Schätzungen sagen

Shors Algorithmus, der 1994 entwickelt wurde, liefert einen Polynomialzeit-Quantenalgorithmus zur Faktorisierung großer ganzer Zahlen – die mathematische Grundlage der RSA-Sicherheit – und zur Lösung des diskreten Logarithmusproblems, das der gesamten elliptischen-Kurven-Kryptografie zugrunde liegt. Die Ausführung von Shors Algorithmus gegen RSA-2048- oder 256-Bit-ECC-Schlüssel erfordert einen fehlertoleranten Quantencomputer mit Millionen fehlerkorrigierter logischer Qubits. Aktuelle Quantenhardware arbeitet mit Hunderten bis einigen Tausend physischer Qubits, mit Fehlerraten, die umfangreiche Overhead-Strukturen zur Fehlerkorrektur erfordern.

Die glaubwürdigsten öffentlichen Schätzungen für einen kryptografisch relevanten Quantencomputer konvergieren auf einen Zeitraum von 2030–2035. Der CNSA-2.0-Leitfaden der NSA vom September 2022, der Post-Quanten-Algorithmusübergänge für Nationale Sicherheitssysteme vorschreibt, verwendet 2035 als seinen Planungshorizont. NISTʼs Post-Quanten-Standardisierungszeitplan wurde explizit so konzipiert, dass er vor diesem Fenster abgeschlossen wird. Die US-amerikanische „National Quantum Initiative" und chinesische nationale Quantenprogramme spiegeln beide Regierungsbewertungen wider, dass CRQC-Fähigkeiten innerhalb eines Jahrzehnts ab etwa 2022 erreichbar sind.

Weniger sicher ist, ob Programme mit erheblicher klassifizierter Finanzierung – sowohl US-amerikanische als auch gegnerische – der öffentlichen Forschungsfront voraus sind. Die Geschichte der Entwicklung kryptografischer Fähigkeiten legt nahe, dass öffentlich bekannte Durchbrüche oft der operativen Fähigkeit um Jahre hinterherhinken. Die Verteidigungsplanung sollte nicht davon ausgehen, dass öffentliche Zeitpläne das vollständige Bild darstellen.

Schlüsselerkenntnis: Die Lücke zwischen dem Vorhandensein eines CRQC und dem Abschluss der kryptografischen Migration durch Verteidigungsorganisationen ist das kritische Expositionsfenster. PKI-Migrationen für große Verteidigungsprogramme dauern realistisch 5–10 Jahre. Ein Programm, das 2027 mit der Migration beginnt und auf eine CRQC-Ankunft im Jahr 2030 abzielt, wird nicht rechtzeitig fertig. Die korrekte Planungshaltung besteht darin, die Migrations-Vorlaufzeit und nicht die Unsicherheit des Quantenzeitplans als bindende Einschränkung zu behandeln.

Welche klassifizierten Daten die längste Geheimhaltungsanforderung haben

Nicht alle Verteidigungsdaten haben die gleiche Exposition gegenüber der HNDL-Bedrohung. Die Empfindlichkeit gegenüber quantengestützter Entschlüsselung ist eine Funktion von zwei unabhängigen Variablen: Klassifizierungsstufe (wie sensibel die Information ist) und Haltbarkeitsdauer (wie lange die Information sensibel und handlungsrelevant bleibt). Das Risikoexpositionsmaß ist das Produkt beider.

Nukleare Befehls-, Kontroll- und Kommunikationsprotokolle (NC3) und die sie unterstützenden Kommunikationsarchitekturen haben im Wesentlichen unbegrenzte Haltbarkeitsdauer – die zugrunde liegenden Befehlsautoritätsstrukturen und Autorisierungscodes, die Nuklearsysteme schützen, müssen auf unbestimmte Zeit geheim bleiben. NC3-Systeme neigen auch dazu, veraltete kryptografische Implementierungen mit sehr langen Austauschzyklen zu verwenden, was die Exposition noch verstärkt.

Geheimdienstquellen und -methoden – menschliche Geheimdienstressourcen, Signalerfassungsplattformen und das analytische Handwerk, das Rohdaten interpretiert – haben Haltbarkeitsdauern, die häufig Jahrzehnte umfassen. Eine heute angeworbene Quelle kann bis in die 2040er Jahre aktiv bleiben. Die Kommunikation, die zur Verwaltung und zum Schutz dieser Quelle verwendet wird, wenn sie heute abgefangen und gespeichert wird, wird lesbar, wenn Quantenfähigkeiten vorhanden sind.

Langfristige strategische Planungsdokumente – Streitkräftestruktur-Bewertungen, Fähigkeitsentwicklungs-Roadmaps, Bündnisverpflichtungen und Kriegspläne – beschreiben die beabsichtigte Militärhaltung über 10–20-Jahres-Horizonte. Dies sind genau die Dokumente, die gegnerische Sammlungsprogramme priorisieren, und genau die Dokumente, deren Geheimhaltung während des gesamten Planungszeitraums aufrechterhalten werden muss.

Beschaffungs- und Fähigkeitsbewertungsdaten – technische Spezifikationen für Plattformen der nächsten Generation, Schwachstellenbewertungen bereitgestellter Systeme und Ergebnisse von Entwicklungstests – können Gegnern Ausnutzungs-Roadmaps liefern, die für die gesamte Betriebslebensdauer des Systems gültig sind, die sich 30 Jahre über das Verschlüsselungsdatum hinaus erstrecken kann.

Routinemäßige operative Kommunikation – tägliche Betriebsbefehle, Logistikstatusberichte, administrativer Personalverkehr – hat im Allgemeinen kurze Haltbarkeitsdauern von Tagen oder Wochen. Das HNDL-Risiko für diese Kategorie ist erheblich geringer: Die Informationen werden lange vor jeder plausiblen Quantenentschlüsselung operativ irrelevant sein.

Das Problem der Migrations-Vorlaufzeit: Warum jetzt gehandelt werden muss

Die kryptografische Unternehmensmigration gehört zu den komplexesten und zeitaufwändigsten Infrastrukturänderungen, die eine Verteidigungsorganisation durchführt. Im Gegensatz zu einem Software-Update oder einem Hardware-Austausch berührt die kryptografische Migration jedes System, das verschlüsselt, signiert, authentifiziert oder verifiziert – was in einem modernen Verteidigungsnetzwerk praktisch alles ist.

Ein realistischer Zeitplan für die vollständige PKI-Migration in einem großen Verteidigungsprogramm: kryptografisches Inventar und Abhängigkeitskartierung, 6–18 Monate; Architekturdesign und Akkreditierung der PKI-Migration, 12–24 Monate; Bereitstellung von Post-Quanten-Root- und ausstellenden Zertifizierungsstellen, 6–12 Monate; Dual-Ausstellungsphase (klassische und PQC-Zertifikate gleichzeitig), 12–24 Monate; Fleet-Upgrade zur Unterstützung der PQC-Zertifikatsvalidierung, 12–36 Monate je nach Endpunktanzahl und Update-Mechanismen; Rückzug klassischer Zertifikate, gesteuert durch Fleet-Sättigung. Gesamt: 5–9 Jahre für ein großes, komplexes Programm unter Verteidigungsbeschaffungseinschränkungen.

TLS-Endpunkt-Migration, Firmware-Signierungsübergänge, VPN-Protokoll-Upgrades und HSM-Firmware-Updates laufen parallel zur PKI-Migration, bringen aber ihre eigenen Abhängigkeiten und Zeitpläne mit sich. Ein Programm, das 2026 mit der umfassenden Migrationsplanung beginnt und auf einen Abschluss bis 2030 abzielt, arbeitet bereits mit minimalem Spielraum gegenüber dem konservativen Ende des Quantenzeitplans.

Ein Priorisierungsrahmen: Sensibilität × Haltbarkeitsdauer

Angesichts begrenzter Ressourcen und der Unmöglichkeit, alle Systeme gleichzeitig zu migrieren, benötigen Programme eine prinzipielle Grundlage für die Sequenzierung der Arbeit. Die Sensibilität-×-Haltbarkeitsdauer-Matrix bietet diesen Rahmen.

Erstellen Sie eine Zwei-Achsen-Bewertung für jedes Kommunikationssystem oder jede Datenkategorie: auf einer Achse die Klassifizierungsstufe und operative Sensibilität der Daten (von routinemäßig unklassifiziert bis TOP SECRET/SCI); auf der anderen die Haltbarkeitsdauer der Daten in Jahren. Systeme im Quadranten mit hoher Sensibilität und langer Haltbarkeitsdauer – NC3-Kommunikation, Geheimdienstquellenschutz, langfristige strategische Pläne – sind die unmittelbare Priorität für die HNDL-Minderung. Systeme im Quadranten mit geringer Sensibilität und kurzer Haltbarkeitsdauer – routinemäßiger Verwaltungsverkehr, taktische Betriebsberichte – können später in der Migrationssequenz folgen.

Dieser Rahmen bestimmt auch, welche Systeme den frühen Einsatz hybrider Post-Quanten-Kryptografie rechtfertigen, bevor die vollständige PKI-Migration abgeschlossen ist. Für die höchstprioritären Systeme ist das Warten auf die PKI-Migration nicht akzeptabel – hybrides PQC, das auf der Sitzungsebene bereitgestellt wird, bietet sofortige HNDL-Resistenz ohne erforderliche Änderungen der Zertifikatsinfrastruktur.

Was Organisationen dieses Jahr tun können

Mehrere Maßnahmen liefern konkrete Risikominderung in einem kurzen Zeitrahmen, unabhängig von längerfristigen PKI-Migrationsprogrammen.

Kryptografisches Inventar. Beginnen Sie mit einer systematischen Bestandsaufnahme aller kryptografischen Abhängigkeiten im Programm. Automatisierte kryptografische Erkennungstools existieren für Netzwerkinfrastruktur; die Kryptografie auf Anwendungsebene erfordert Code-Audit und Architekturüberprüfung. Das Inventar ist die Voraussetzung für alle nachfolgenden Arbeiten – ohne es kann der Migrationsumfang nicht genau geschätzt werden, und nicht erkannte Abhängigkeiten schaffen späte Blockierer.

PKI-Migrationsdesign. Beauftragen Sie jetzt das Architekturdesign für Post-Quanten-PKI. Designarbeit erfordert keinen Implementierungsbeginn – die Designphase identifiziert Abhängigkeiten, schätzt Zeitpläne und erstellt die Akkreditierungsartefakte, die unter Verteidigungsbeschaffungsrahmen vor dem Beginn jeder Implementierung erforderlich sind. Der Designbeginn im Jahr 2026 ermöglicht den Implementierungsbeginn in 2027–2028, was einem Fertigstellungsziel von 2030–2032 entspricht.

Hybrider PQC-Einsatz für Prioritätssysteme. Für Systeme, die im höchstprioritären Quadranten der Sensibilitätsmatrix identifiziert wurden, setzen Sie hybride ML-KEM-Verschlüsselung auf der Sitzungsebene ein. Corvus.Quantum bietet eine kampferprobte hybride ML-KEM-Streaming-Verschlüsselungsschicht, die speziell für Verteidigungskommunikationsumgebungen entwickelt wurde und auf bestehender Infrastruktur ohne PKI-Änderungen einsetzbar ist. Der hybride Einsatz bietet sofortige HNDL-Resistenz für den sensibelsten Datenverkehr, während die breitere Migration fortschreitet.

Aktualisierungen der Beschaffungsanforderungen. Überprüfen Sie aktuelle und geplante Verträge für Kommunikationssysteme, Software und Infrastruktur. Fügen Sie Post-Quanten-Kryptografie-Anforderungen in bevorstehende Ausschreibungen ein – insbesondere Unterstützung für ML-KEM (FIPS 203), ML-DSA (FIPS 204) und hybride Cipher-Suiten in TLS. Dies stellt sicher, dass heute beschaffte Systeme nicht zum Migrationsrückstand beitragen.

Firmware-Signierungs-Bewertung. Identifizieren Sie Waffensystem- und Hardwareplattformen, deren Firmware-Signierungsschlüssel bis in die 2030er Jahre in operativem Einsatz bleiben werden. Dokumentieren Sie den Migrationspfad für jede – entweder geplanter Ersatz mit PQC-signierter Firmware beim nächsten Refresh-Zyklus oder explizite Risikoakzeptanz, wo die Architektur keine Schlüsselrotation erlaubt.

Schlüsselerkenntnis: Die Organisationen mit der dringendsten Quantenbedrohungsexposition sind nicht notwendigerweise diejenigen mit den meisten klassifizierten Daten – es sind diejenigen mit der größten Lücke zwischen der Haltbarkeitsdauer ihrer Daten und dem geplanten Abschlussdatum ihrer Migration. Ein Programm, das 20-jährige strategische Pläne mit einem 7-jährigen Migrationszeitplan schützt, der 2027 beginnt, hat bereits ein Restrisiko gegenüber dem konservativen Quantenzeitplan akzeptiert.

Die Post-Quanten-Algorithmuslandschaft für die Verteidigung

NIST schloss seine Post-Quanten-Kryptografiestandarisierung 2024 ab und veröffentlichte drei Algorithmen, die das Fundament quantensicherer Kryptografie für Verteidigungsanwendungen bilden. Der CNSA-2.0-Leitfaden der NSA, veröffentlicht 2022, schreibt diese Algorithmen (oder ihre Vorgänger) für Nationale Sicherheitssysteme vor.

ML-KEM (FIPS 203), basierend auf CRYSTALS-Kyber, ist der zugelassene Algorithmus für die Schlüsselkapselung – den Mechanismus, mit dem zwei Parteien ein gemeinsames Geheimnis etablieren. ML-KEM ersetzt RSA und ECDH für den Schlüsselaustausch in TLS und anderen Protokollen. CNSA 2.0 spezifiziert ML-KEM-1024 für NSS-Anwendungen. ML-KEM hat relativ kompakte Geheimtextgrößen im Vergleich zu anderen gitterbasierten Alternativen sowie schnelle Schlüsselgenerierungs- und Kapselungsoperationen.

ML-DSA (FIPS 204), basierend auf CRYSTALS-Dilithium, ist der primäre zugelassene Algorithmus für digitale Signaturen. ML-DSA ersetzt RSA-PSS und ECDSA für Zertifikatsignaturen, Code-Signierung und Authentifizierung. Signaturgrößen sind größer als ECDSA (ungefähr 3–4 KB für ML-DSA-87 vs. 70 Bytes für ECDSA P-256), aber gut innerhalb der Toleranz der meisten Protokollanwendungen.

SLH-DSA (FIPS 205), basierend auf SPHINCS+, bietet einen alternativen Signaturalgorithmus mit Sicherheit, die aus Hash-Funktionen statt aus Gittermathematik abgeleitet wird. SLH-DSA bietet kryptografische Diversität – wenn gitterbasierte Algorithmen durch zukünftige mathematische Fortschritte geschwächt werden, bleibt SLH-DSA unberührt. Es eignet sich für hochsicherheitsrelevante Anwendungen, bei denen die Leistungsanforderungen seine größeren Signaturen und langsameren Operationen erlauben, insbesondere für die Firmware-Signierung, bei der zusätzliche Sicherheitsdiversität gerechtfertigt ist.

Symmetrische Algorithmen – AES-256 und SHA-384/512 – sind bei aktuellen Schlüssellängen quantensicher. Grovers Algorithmus bietet eine quadratische Beschleunigung für die erschöpfende Suche, was die Bit-Sicherheit eines symmetrischen Algorithmus effektiv halbiert, aber AES-256 behält gegen einen Quantengegner eine Sicherheit von ungefähr 128 Bit, was rechentechnisch nicht angreifbar bleibt. Im Rahmen des Post-Quanten-Übergangs ist keine Migration symmetrischer Algorithmen erforderlich.

Weiterführende Lektüre

Für Implementierungsdetails zu den von der NSA für Verteidigungssysteme vorgeschriebenen Algorithmen siehe Post-Quanten-Kryptografie für die Verteidigung: CNSA-2.0-Leitfaden, der die Parameterauswahl für ML-KEM, ML-DSA und SLH-DSA, TLS-Migrationsmechanismen und den hybriden Übergangsansatz im Detail behandelt. Für den Zero-Trust-Netzwerkarchitektur-Kontext, in dem quantensichere Kommunikation betrieben wird, siehe Zero-Trust-Architektur für Militärnetzwerke: Prinzipien und Implementierung. Für die breitere sichere Cloud-Infrastruktur, die klassifizierte Workloads benötigen, siehe GovCloud-Architektur für die Verteidigung: Azure Government vs. AWS GovCloud.

Schützen Sie Ihre klassifizierte Kommunikation jetzt

Corvus.Quantum liefert kampferprobte hybride ML-KEM-Streaming-Verschlüsselung für Verteidigungskommunikation — einsetzbar auf bestehender Infrastruktur, keine PKI-Änderungen erforderlich, sofortiger HNDL-Schutz für Ihre höchstprioritären Systeme.

Corvus.Quantum → Secure-Cloud-Dienste

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die missionskritische Software für Verteidigungs- und Regierungsorganisationen entwickeln. Mehr über unser Team →

Häufig gestellte Fragen

Wann werden Quantencomputer in der Lage sein, Militärverschlüsselung zu brechen?

Die glaubwürdigsten öffentlichen Schätzungen für einen kryptografisch relevanten Quantencomputer (CRQC) – einen, der RSA-2048 oder 256-Bit-ECC brechen kann – liegen zwischen 2030 und 2035. Der CNSA-2.0-Leitfaden der NSA verwendet 2035 als Planungshorizont. Verteidigungsorganisationen sollten 2030 als konservatives Planungsziel verwenden, da Migrationslaufzeiten von 5–10 Jahren bedeuten, dass die Arbeit jetzt beginnen muss, unabhängig vom genauen Datum. Einige nationale Geheimdienstbewertungen deuten darauf hin, dass der Zeitplan kürzer sein könnte als öffentliche Schätzungen vermuten lassen.

Was ist die Harvest-now-decrypt-later-Bedrohung und warum ist sie heute relevant?

Harvest-now-decrypt-later (HNDL) ist die Praxis, verschlüsselte Kommunikation heute aufzuzeichnen, um sie zu entschlüsseln, sobald ein Quantencomputer verfügbar wird. Da die Kosten für die Massensammlung verschlüsselten Datenverkehrs gering sind, müssen Gegner nicht auf Quantenfähigkeiten warten, bevor sie die Daten beschaffen. Alle klassifizierten Informationen, die heute mit RSA oder ECC verschlüsselt sind und deren Wert über 2030 hinaus reicht – strategische Pläne, Geheimdienstquellen und -methoden, nukleare Befehlsprotokolle – sind bereits faktisch gefährdet. Die Bedrohung ist gegenwärtig, auch wenn die Entschlüsselungsfähigkeit noch nicht existiert.

Welche kryptografischen Algorithmen sind gegen Quantencomputer sicher?

Symmetrische Algorithmen – AES-256, SHA-384, SHA-512 – gelten mit aktuellen Schlüsselgrößen als quantensicher (Grovers Algorithmus halbiert die effektive Schlüssellänge, sodass AES-256 gegen Quantenangriffe eine Sicherheit von ~128 Bit behält). Die anfälligen Algorithmen sind alle Public-Key-Systeme, die auf mathematischen Problemen basieren, die Shors Algorithmus effizient löst: RSA, Diffie-Hellman und alle Varianten der elliptischen Kurven (ECDSA, ECDH, EdDSA). NISTʼs Post-Quanten-Standards – ML-KEM (FIPS 203), ML-DSA (FIPS 204) und SLH-DSA (FIPS 205) – sind quantenresistente Ersatzalgorithmen für diese Public-Key-Algorithmen.

Wie lange dauert die Migration der Verteidigungskryptografie auf Post-Quanten-Algorithmen?

Die vollständige Unternehmensmigration der kryptografischen Infrastruktur einer Verteidigungsorganisation – PKI, TLS-Endpunkte, Firmware-Signierung, benutzerdefinierte Protokolle, Hardware-Sicherheitsmodule – dauert für große Programme realistisch 5 bis 10 Jahre. Der Zeitplan umfasst: kryptografisches Inventar (6–18 Monate für ein komplexes Programm), PKI-Migrationsdesign und -genehmigung (12–24 Monate), schrittweiser Zertifikatsrollout (12–24 Monate), TLS-Endpunkt-Upgrades (12–36 Monate) und Firmware-Neu-Signierungskampagnen, die an Plattform-Refresh-Zyklen gebunden sind. Der Beginn im Jahr 2026 zur Einhaltung einer konservativen Frist von 2030 lässt für komplexe Programme minimalen Spielraum.

Verfügen Gegner bereits über Quantencomputer, die Verschlüsselung brechen können?

Kein öffentlicher Beweis bestätigt, dass ein Nationalstaat derzeit einen kryptografisch relevanten Quantencomputer betreibt. Aktuelle Quantenhardware – einschließlich der fortschrittlichsten Systeme von IBM, Google und gemeldeten chinesischen Programmen – arbeitet mit Hunderten bis Tausenden physischer Qubits, weit unter den Millionen fehlerkorrigierter logischer Qubits, die erforderlich sind, um Shors Algorithmus gegen RSA-2048 oder 256-Bit-ECC auszuführen. Gegnerische Programme haben jedoch erhebliche klassifizierte Komponenten, und die Lücke zwischen öffentlichen Ankündigungen und operativer Fähigkeit kann Jahre betragen. Die angemessene Haltung ist, HNDL unabhängig von aktuellen Fähigkeitsbewertungen als aktive Bedrohung zu behandeln.